Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
Топик располагается на нескольких страницах: Ctrl  назад   1 [2] 3   вперед  Ctrl      все
 Re: Безопасность SQL Server 2008 (возможна ли фильтрация соединений по приложению)  [new]
Maxx
Member [скрыт]

Откуда:
Сообщений: 24290
мдя....
27 июл 15, 15:48    [17940197]     Ответить | Цитировать Сообщить модератору
 Re: Безопасность SQL Server 2008 (возможна ли фильтрация соединений по приложению)  [new]
o-o
Guest
ddrsdram
не зависимо от опыта и знаний даже самому начинающему горе админу который освоил соединение в Enterprise Manager дай в руки логин пароль. и приехали

приехали к тому, что это ВЫ не понимаете.
что может изгадить db_datareader???
а имея только логин на сервер, кроме имен баз вы вообще ничего не получите,
да и view any database тоже отбираемо
27 июл 15, 15:50    [17940215]     Ответить | Цитировать Сообщить модератору
 Re: Безопасность SQL Server 2008 (возможна ли фильтрация соединений по приложению)  [new]
ddrsdram
Member

Откуда:
Сообщений: 20
o-o,

это понятно, для того чтобы писать и читать не нужно быть админом, но даже если создается имя входа с правами db_dadtdwriter или db_datdreader, уже есть возможность соединения с использованием Enterprise Manager а данная возможность категорически неприемлема
27 июл 15, 15:50    [17940221]     Ответить | Цитировать Сообщить модератору
 Re: Безопасность SQL Server 2008 (возможна ли фильтрация соединений по приложению)  [new]
ddrsdram
Member

Откуда:
Сообщений: 20
o-o,

а что может записать db_datewriter?
27 июл 15, 15:51    [17940230]     Ответить | Цитировать Сообщить модератору
 Re: Безопасность SQL Server 2008 (возможна ли фильтрация соединений по приложению)  [new]
Glory
Member

Откуда:
Сообщений: 104760
ddrsdram
но даже если создается имя входа с правами db_dadtdwriter или db_datdreader,

А зачем ему эти роли ?
Вы сами развели брадак с правми доступа, а теперь безуспешно пытаетесь с ним бороться
27 июл 15, 15:52    [17940236]     Ответить | Цитировать Сообщить модератору
 Re: Безопасность SQL Server 2008 (возможна ли фильтрация соединений по приложению)  [new]
o-o
Guest
ddrsdram
есть возможность соединения с использованием Enterprise Manager а данная возможность категорически неприемлема

давайте, расскажите, чем грозит db_datareader, соединившийя через ЕМ.
что именно он может изменить?
а видит лишнее, ну так не давайте db_datareader-а, выдайте 1 селект на 1 таблицу (или сколько вам надо), какие проблемы-то?
27 июл 15, 15:54    [17940252]     Ответить | Цитировать Сообщить модератору
 Re: Безопасность SQL Server 2008 (возможна ли фильтрация соединений по приложению)  [new]
ddrsdram
Member

Откуда:
Сообщений: 20
o-o,

db_datareader в частности ничем не грозит в плане модификации, можно выполнять инструкцию SELECT для любой таблицы или представления в базе данных, но ведь есть конфиденциальные данные которые нельзя просматривать даже админу
27 июл 15, 15:59    [17940299]     Ответить | Цитировать Сообщить модератору
 Re: Безопасность SQL Server 2008 (возможна ли фильтрация соединений по приложению)  [new]
Glory
Member

Откуда:
Сообщений: 104760
ddrsdram
но ведь есть конфиденциальные данные которые нельзя просматривать даже админу

О. наконец-то до вас дошло, что права нужно выдавать только необходимые
27 июл 15, 16:01    [17940314]     Ответить | Цитировать Сообщить модератору
 Re: Безопасность SQL Server 2008 (возможна ли фильтрация соединений по приложению)  [new]
Maxx
Member [скрыт]

Откуда:
Сообщений: 24290
ddrsdram
db_datareader в частности ничем не грозит в плане модификации, можно выполнять инструкцию SELECT для любой таблицы или представления в базе данных, но ведь есть конфиденциальные данные которые нельзя просматривать даже админу

..приехали..
Создайте свю роль - с правами исключительно на выполнения хранимых процедур..остальное заберите
27 июл 15, 16:02    [17940318]     Ответить | Цитировать Сообщить модератору
 Re: Безопасность SQL Server 2008 (возможна ли фильтрация соединений по приложению)  [new]
ddrsdram
Member

Откуда:
Сообщений: 20
Glory,

Вы всё время меня упрекаете в каком то недопонимании, а конструктивных решений так и не предложили.
Если пользователю сервера необходимо выполнять следующие действия
connect
select
insert
update
create wiev
exec
какими правами нужно его наделить, чтобы он всё это мог выполнять из приложения и не мог в Enterprise Manager

И пожалуйста конструктивно
Выражение "дайте нужные права" очень громкое но при этом очень бесполезное
27 июл 15, 16:10    [17940375]     Ответить | Цитировать Сообщить модератору
 Re: Безопасность SQL Server 2008 (возможна ли фильтрация соединений по приложению)  [new]
Glory
Member

Откуда:
Сообщений: 104760
ddrsdram
Вы всё время меня упрекаете в каком то недопонимании, а конструктивных решений так и не предложили.

Мда.
Какие конструктивные решения вы хотите, если сначал выдаете права админа, а потом начинаете бороться с избытком прав ?

ddrsdram
Если пользователю сервера необходимо выполнять следующие действия
connect
select
insert
update
create wiev
exec

Зачем ему select/insert/update отдельно от exec ?

ddrsdram
И пожалуйста конструктивно
Выражение "дайте нужные права" очень громкое но при этом очень бесполезное

Замечательно. Сделайть за вас анализ системы вашей безопасности ? Определить роли и права доступа для каждой ? Это для вас "конструктивно" ?
27 июл 15, 16:13    [17940398]     Ответить | Цитировать Сообщить модератору
 Re: Безопасность SQL Server 2008 (возможна ли фильтрация соединений по приложению)  [new]
Гавриленко Сергей Алексеевич
Member

Откуда: Moscow
Сообщений: 37057
ddrsdram
какими правами нужно его наделить, чтобы он всё это мог выполнять из приложения и не мог в Enterprise Manager
Серверу наплевать, из какого приложения выполняются запросы. И даже при желании, он не может этого проконтролировать.

А если ваше приложение требует прямых прав на модификацию, то тут не в сервер дело.
27 июл 15, 16:14    [17940404]     Ответить | Цитировать Сообщить модератору
 Re: Безопасность SQL Server 2008 (возможна ли фильтрация соединений по приложению)  [new]
o-o
Guest
ddrsdram
Glory,

Вы всё время меня упрекаете в каком то недопонимании, а конструктивных решений так и не предложили.
Если пользователю сервера необходимо выполнять следующие действия
connect
select
insert
update
create wiev
exec
какими правами нужно его наделить, чтобы он всё это мог выполнять из приложения и не мог в Enterprise Manager

И пожалуйста конструктивно
Выражение "дайте нужные права" очень громкое но при этом очень бесполезное

нет, это вы объясните, чем же отличается выполнение этих действий в вашем приложении
от выполнения их же в ЕМ.
и как же именно нагадил тот админ, вы тоже не ответили.
сдается мне, что кто-то порнушку сложил в базу или письма от любовниц.
а в приложении единственный грид показывает данные по теме приложения.
"нагадил" заключалось в рассылке вышеуказанного, прочтенного посредством ЕМ, всем подряд, что и называлось "поржать".
ну так отбирайте датаридера, выдавайте селект на ту самую "таблицу по делу" и вопрос закрыт
27 июл 15, 16:17    [17940423]     Ответить | Цитировать Сообщить модератору
 Re: Безопасность SQL Server 2008 (возможна ли фильтрация соединений по приложению)  [new]
ddrsdram
Member

Откуда:
Сообщений: 20
Glory,

вы наверно недопоняли выражение которое было описано в самом начале темы в раздельчике ДАНО:
цитирую
"Клиент: несколько пользователей разделим их на два типа, юзеры и горе админ,"

"горе админ" это не означает что он обладает правами администратора на сервере, это такой чувак, роль которого выполнять некий контроль за юзерами по средствам предоставленного приложения, юзеры это тоже чуваки, но совсем бестолковые
27 июл 15, 16:18    [17940430]     Ответить | Цитировать Сообщить модератору
 Re: Безопасность SQL Server 2008 (возможна ли фильтрация соединений по приложению)  [new]
ddrsdram
Member

Откуда:
Сообщений: 20
o-o,

Зто всё лирика. Ещё никто ничего не сделал. Я лишь моделирую угрозу. Её решение на мой взгляд, было предложено Вами в самом начале, и использованием триггера.
27 июл 15, 16:20    [17940442]     Ответить | Цитировать Сообщить модератору
 Re: Безопасность SQL Server 2008 (возможна ли фильтрация соединений по приложению)  [new]
Glory
Member

Откуда:
Сообщений: 104760
ddrsdram
вы наверно недопоняли выражение которое было описано в самом начале темы в раздельчике ДАНО:

Ну что сказать, вы( или кто там еще) построили хреновую систему безопасности. Если она зависит от имени приложения
27 июл 15, 16:20    [17940444]     Ответить | Цитировать Сообщить модератору
 Re: Безопасность SQL Server 2008 (возможна ли фильтрация соединений по приложению)  [new]
ddrsdram
Member

Откуда:
Сообщений: 20
Glory,

Очень конструктивно, а самое главное понятно. И очень Громко!
27 июл 15, 16:24    [17940464]     Ответить | Цитировать Сообщить модератору
 Re: Безопасность SQL Server 2008 (возможна ли фильтрация соединений по приложению)  [new]
Glory
Member

Откуда:
Сообщений: 104760
ddrsdram
Очень конструктивно, а самое главное понятно. И очень Громко!

Я не собираюсь за вас делать вашу работу.
Если вам не хватает квалификации, то наймите специалиста.
Который понимает, что функционал должен работать одинаково из любого приложения.
27 июл 15, 16:26    [17940479]     Ответить | Цитировать Сообщить модератору
 Re: Безопасность SQL Server 2008 (возможна ли фильтрация соединений по приложению)  [new]
Maxx
Member [скрыт]

Откуда:
Сообщений: 24290
ddrsdram
"горе админ" это не означает что он обладает правами администратора на сервере, это такой чувак, роль которого выполнять некий контроль за юзерами по средствам предоставленного приложения, юзеры это тоже чуваки, но совсем бестолковые

вам же уже сказали :
1. Бестолковый адимн у вас,ето как минимум
2. Только вам известна модель работы с данными вашего приложения... и ответ на вопрос -действительно ли юзеру нужны права на селект можете дать только вы
3. Серверу пофиг с каого приложения будут выться запросы... хоть с ЕМ,хоть с sqlcmd хоть из Екселя
4. Вы и только Вы придумали свою модель безопасности
5. Вы и только вы можете проанализировать, что можно заберать в правах, нет общего рецепта
6. Если Вы не в состоянии реализовать первых 5 пунктов - то наймите того кто будет иметь достпу к "телу" - ето не форум екстасенсов
27 июл 15, 16:30    [17940504]     Ответить | Цитировать Сообщить модератору
 Re: Безопасность SQL Server 2008 (возможна ли фильтрация соединений по приложению)  [new]
o-o
Guest
ddrsdram
o-o,

Зто всё лирика. Ещё никто ничего не сделал. Я лишь моделирую угрозу. Её решение на мой взгляд, было предложено Вами в самом начале, и использованием триггера.

лирика у вас.
решение делается под конкретную проблему,
а вы ее даже не в состоянии сформулировать.
любой здравомыслящий товарищ, обнаружив себя внезапным админом какого-то сервера,
включает xp_cmdshell, проверяет whoami,
при благоприятном исходе прописывает себя локальным админом того компа,
прежде чем вы слазите в гугл, чтобы понять, что это значит.
теперь городите свои триггеры сколько угодно, комп уже под контролем кого (не) надо
27 июл 15, 16:31    [17940508]     Ответить | Цитировать Сообщить модератору
 Re: Безопасность SQL Server 2008 (возможна ли фильтрация соединений по приложению)  [new]
invm
Member

Откуда: Москва
Сообщений: 9400
1. Безопасность планируют до разработки системы, а не после.
2. Для решения проблемы, подобной вашей, пользуются ролью приложения, соответственно явно запрещая пользователям все, кроме connect. Но в этом случае, у вас встанет задача безопасного хранения или получения пароля роли приложения.
27 июл 15, 16:37    [17940555]     Ответить | Цитировать Сообщить модератору
 Re: Безопасность SQL Server 2008 (возможна ли фильтрация соединений по приложению)  [new]
ddrsdram
Member

Откуда:
Сообщений: 20
o-o
ddrsdram
o-o,

Зто всё лирика. Ещё никто ничего не сделал. Я лишь моделирую угрозу. Её решение на мой взгляд, было предложено Вами в самом начале, и использованием триггера.

лирика у вас.
решение делается под конкретную проблему,
а вы ее даже не в состоянии сформулировать.
любой здравомыслящий товарищ, обнаружив себя внезапным админом какого-то сервера,
включает xp_cmdshell, проверяет whoami,
при благоприятном исходе прописывает себя локальным админом того компа,
прежде чем вы слазите в гугл, чтобы понять, что это значит.
теперь городите свои триггеры сколько угодно, комп уже под контролем кого (не) надо


Вот это конструктивно
27 июл 15, 16:43    [17940583]     Ответить | Цитировать Сообщить модератору
 Re: Безопасность SQL Server 2008 (возможна ли фильтрация соединений по приложению)  [new]
ddrsdram
Member

Откуда:
Сообщений: 20
invm,

Опять умные слова.
А если уже есть система, ну не подумал я про безопасность в 1999 году и что?
есть решения пишите
27 июл 15, 16:47    [17940604]     Ответить | Цитировать Сообщить модератору
 Re: Безопасность SQL Server 2008 (возможна ли фильтрация соединений по приложению)  [new]
ddrsdram
Member

Откуда:
Сообщений: 20
o-o
ddrsdram
o-o,

Зто всё лирика. Ещё никто ничего не сделал. Я лишь моделирую угрозу. Её решение на мой взгляд, было предложено Вами в самом начале, и использованием триггера.

лирика у вас.
решение делается под конкретную проблему,
а вы ее даже не в состоянии сформулировать.
любой здравомыслящий товарищ, обнаружив себя внезапным админом какого-то сервера,
включает xp_cmdshell, проверяет whoami,
при благоприятном исходе прописывает себя локальным админом того компа,
прежде чем вы слазите в гугл, чтобы понять, что это значит.
теперь городите свои триггеры сколько угодно, комп уже под контролем кого (не) надо


А если имя входа вабще не связано с виндовым. Что тогда?
27 июл 15, 16:48    [17940612]     Ответить | Цитировать Сообщить модератору
 Re: Безопасность SQL Server 2008 (возможна ли фильтрация соединений по приложению)  [new]
o-o
Guest
ddrsdram
А если имя входа вабще не связано с виндовым. Что тогда?

какая разница-то.
было не связано, а я создаю под всемогущей учеткой сиквела
(и не надо, что никто не дает ему админа, дают, еще как дают)
виндовую локальную учетку net user /add, net localgroup Administrators /add
и теперь мне вообще наплевать, как вы от меня защищаться будете,
т.к. минимум двумя способами, с перегрузом сервера и без, я себя обратно верну.
способ с psExec прикольнее.
причем разводители бардака даже не смотрят, кто у них в юзерах завелся.
27 июл 15, 16:59    [17940671]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: Ctrl  назад   1 [2] 3   вперед  Ctrl      все
Все форумы / Microsoft SQL Server Ответить